<h4>Spring Security</h4>

Spring Security是Spring社区的一个顶级项目,也是Spring Boot官方推荐使用的Security框架。除了常规的Authentication和Authorization之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。虽然功能强大,Spring Security的配置并不算复杂(得益于官方详尽的文档),尤其在3.2版本加入Java Configuration的支持之后,可以彻底告别令不少初学者望而却步的XML Configuration。在使用层面,Spring Security提供了多种方式进行业务集成,包括注解,Servlet API,JSP Tag,系统API等。下面就结合一些示例代码介绍Boot应用中集成Spring Security的几个关键点。

1 核心概念

Principle(User), Authority(Role)和Permission是Spring Security的3个核心概念。跟通常理解上Role和Permission之间一对多的关系不同,在Spring Security中,Authority和Permission是两个完全独立的概念,两者并没有必然的联系,但可以通过配置进行关联。

2 基础配置

首先在项目的pom.xml中引入spring-boot-starter-security依赖。

  1. <dependency>
    2. 

  2.     <groupId>org.springframework.boot</groupId>
    3. 

  3.     <artifactId>spring-boot-starter-security</artifactId>
    4. 

  4. </dependency>

和其余Spring框架一样,XML Configuration和Java Configuration是Spring Security的两种常用配置方式。Spring 3.2版本之后,Java Configuration因其流式API支持,强类型校验等特性,逐渐替代XML Configuration成为更广泛的配置方式。下面是一个示例Java Configuration。

  1. @Configuration
    2. 

  2. @EnableWebSecurity
    3. 

  3. @EnableGlobalMethodSecurity(prePostEnabled = true)
    4. 

  4. public class SecurityConfig extends WebSecurityConfigurerAdapter {
    5. 

    6. 

  6.     @Autowired
    7. 

  7.     MyUserDetailsService detailsService;
    8. 

    9. 

  9.     @Override
    10. 

  10.     protected void configure(HttpSecurity http) throws Exception {
    11. 

  11.         http.authorizeRequests()
    12. 

  12.                 .and().formLogin().loginPage("/login").permitAll().defaultSuccessUrl("/", true)
    13. 

  13.                 .and().logout().logoutUrl("/logout")
    14. 

  14.                 .and().sessionManagement().maximumSessions(1).expiredUrl("/expired")
    15. 

  15.                 .and()
    16. 

  16.                 .and().exceptionHandling().accessDeniedPage("/accessDenied");
    17. 

  17.     }
    18. 

    19. 

  19.     @Override
    20. 

  20.     public void configure(WebSecurity web) throws Exception {
    21. 

  21.         web.ignoring().antMatchers("/js/**", "/css/**", "/images/**", "/**/favicon.ico");
    22. 

  22.     }
    23. 

    24. 

  24.     @Override
    25. 

  25.     public void configure(AuthenticationManagerBuilder auth) throws Exception {
    26. 

  26.         auth.userDetailsService(detailsService).passwordEncoder(new BCryptPasswordEncoder());
    27. 

  27.     }
    28. 

    29. 

  29. }
  • @EnableWebSecurity: 禁用Boot的默认Security配置,配合@Configuration启用自定义配置(需要扩展WebSecurityConfigurerAdapter)
  • @EnableGlobalMethodSecurity(prePostEnabled = true): 启用Security注解,例如最常用的@PreAuthorize
  • configure(HttpSecurity): Request层面的配置,对应XML Configuration中的<http>元素
  • configure(WebSecurity): Web层面的配置,一般用来配置无需安全检查的路径
  • configure(AuthenticationManagerBuilder): 身份验证配置,用于注入自定义身份验证Bean和密码校验规则
3 扩展配置

完成基础配置之后,下一步就是实现自己的UserDetailsService和PermissionEvaluator,分别用于自定义Principle, Authority和Permission。

  1. @Component
    2. 

  2. public class MyUserDetailsService implements UserDetailsService {
    3. 

    4. 

  4.     @Autowired
    5. 

  5.     private LoginService loginService;
    6. 

    7. 

  7.     @Autowired
    8. 

  8.     private RoleService roleService;
    9. 

    10. 

  10.     @Override
    11. 

  11.     public UserDetails loadUserByUsername(String username) {
    12. 

  12.         if (StringUtils.isBlank(username)) {
    13. 

  13.             throw new UsernameNotFoundException("用户名为空");
    14. 

  14.         }
    15. 

    16. 

  16.         Login login = loginService.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("用户不存在"));
    17. 

    18. 

  18.         Set<GrantedAuthority> authorities = new HashSet<>();
    19. 

  19.         roleService.getRoles(login.getId()).forEach(r -> authorities.add(new SimpleGrantedAuthority(r.getName())));
    20. 

    21. 

  21.         return new org.springframework.security.core.userdetails.User(
    22. 

  22.                 username, login.getPassword(),
    23. 

  23.                 true,//是否可用
    24. 

  24.                 true,//是否过期
    25. 

  25.                 true,//证书不过期为true
    26. 

  26.                 true,//账户未锁定为true
    27. 

  27.                 authorities);
    28. 

  28.     }
    29. 

  29. }

创建GrantedAuthority对象时,一般名称加上ROLE_前缀。

  1.     @Component
    2. 

  2.     public class MyPermissionEvaluator implements PermissionEvaluator {
    3. 

    4. 

  4.         @Autowired
    5. 

  5.         private LoginService loginService;
    6. 

    7. 

  7.         @Autowired
    8. 

  8.         private RoleService roleService;
    9. 

    10. 

  10.         @Override
    11. 

  11.         public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
    12. 

  12.             String username = authentication.getName();
    13. 

  13.             Login login = loginService.findByUsername(username).get();
    14. 

  14.             return roleService.authorized(login.getId(), targetDomainObject.toString(), permission.toString());
    15. 

  15.         }
    16. 

    17. 

  17.         @Override
    18. 

  18.         public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
    19. 

  19.             // not supported
    20. 

  20.             return false;
    21. 

  21.         }
    22. 

  22.     }
  • hasPermission(Authentication, Object, Object)和hasPermission(Authentication, Serializable, String, Object)两个方法分别对应Spring Security中两个同名的表达式。
4 业务集成

Spring Security提供了注解,Servlet API,JSP Tag,系统API等多种方式进行集成,最常用的是第一种方式,包含@Secured, @PreAuthorize, @PreFilter, @PostAuthorize和@PostFilter五个注解。@Secure是最初版本中的一个注解,自3.0版本引入了支持Spring EL表达式的其余四个注解之后,就很少使用了。

  1. @RequestMapping(value = "/hello", method = RequestMethod.GET)
    2. 

  2. @PreAuthorize("authenticated and hasPermission('hello', 'view')")
    3. 

  3. public String hello(Model model) {
    4. 

  4.     String username = SecurityContextHolder.getContext().getAuthentication().getName();
    5. 

  5.     model.addAttribute("message", username);
    6. 

  6.     return "hello";
    7. 

  7. }
  • @PreAuthorize("authenticated and hasPermission('hello', 'view')"): 表示只有当前已登录的并且拥有("hello", "view")权限的用户才能访问此页面
  • SecurityContextHolder.getContext().getAuthentication().getName(): 获取当前登录的用户,也可以通过HttpServletRequest.getRemoteUser()获取

总结

以上就是Spring Security的一般集成步骤,更多细节和高级特性可参考官方文档。

参考

http://emacoo.cn/blog/spring-boot-security

				</div>

关于Boot应用中集成Spring Security你必须了解的那些事的更多相关文章

  1. 【Spring】关于Boot应用中集成Spring Security你必须了解的那些事

    Spring Security Spring Security是Spring社区的一个顶级项目,也是Spring Boot官方推荐使用的Security框架.除了常规的Authentication和A ...

  2. Spring Boot中集成Spring Security 专题

    check to see if spring security is applied that the appropriate resources are permitted: @Configurat ...

  3. spring boot rest 接口集成 spring security(2) - JWT配置

    Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...

  4. spring boot rest 接口集成 spring security(1) - 最简配置

    Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...

  5. spring-boot-starter-security Spring Boot中集成Spring Security

    spring security是springboot支持的权限控制系统. security.basic.authorize-mode 要使用权限控制模式. security.basic.enabled ...

  6. SpringBoot 集成Spring security

    Spring security作为一种安全框架,使用简单,能够很轻松的集成到springboot项目中,下面讲一下如何在SpringBoot中集成Spring Security.使用gradle项目管 ...

  7. SpringBoot集成Spring Security

    1.Spring Security介绍 Spring security,是一个强大的和高度可定制的身份验证和访问控制框架.它是确保基于Spring的应用程序的标准 --来自官方参考手册 Spring ...

  8. Spring Boot中使用 Spring Security 构建权限系统

    Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,为应用系统提供声明式的安全 ...

  9. Spring Boot 集成 Spring Security 实现权限认证模块

    作者:王帅@CodeSheep   写在前面 关于 Spring Security Web系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求.在Java EE领 ...

随机推荐

  1. CF 1119F Niyaz and Small Degrees

    打VP的时候由于CXR和XRY切题太快了导致我只能去写后面的题了 然而VP的时候大概还有一小时时想出了\(O(n^2\log n)\)的暴力,然后过了二十分钟才想到删点的优化 结果细节很多当然是写不出 ...

  2. Spring Boot配置文件大全

    Spring Boot配置文件大全 ############################################################# # mvc ############## ...

  3. MIPS程序设计实例

    第一题:用系统功能调用实现简单输入输出 题目要求 利用系统功能调用从键盘输入,转换后在屏幕上显示,具体要求如下: 1.如果输入的是字母(A~Z,区分大小写)或数字(0~9),则将其转换成对应的英文单词 ...

  4. 标注偏置问题(Label Bias Problem)和HMM、MEMM、CRF模型比较<转>

    转自http://blog.csdn.net/lskyne/article/details/8669301 路径1-1-1-1的概率:0.4*0.45*0.5=0.09 路径2-2-2-2的概率:0. ...

  5. Linux命令基础操作--vim 归档 压缩 分区 格式化 挂载 Innode

    1 将用户信息数据库文件和组信息数据库文件纵向合并为一个文件/1.txt(覆盖) 使用 cat命令将查看的文件合并输出到/1.txt 这里的关键:定位到文件,如果后面加上/后被认为是目录 分为两步,先 ...

  6. Linux内核漏洞利用-环境配置(转)

    实验环境: Ubuntu-14.04.1 x86 linux-2.6.32.1 busybox-1.27.2 qemu 0x00 安装qemu sudo apt-get install qemu qe ...

  7. Sniper OJ部分writeup

    0x00 shellcode pwn 因为题目直接有源码,我就不拖进IDA了,直接看代码 这是一个典型的栈溢出,我们只需要构造shellcode获得/bin/sh权限就可以得到flag.下面是所用脚本 ...

  8. 【Java_多线程并发编程】基础篇——synchronized关键字

    1. synchronized同步锁的原理 当我们调用某对象的synchronized方法或代码块时,就获取了该对象的同步锁.例如,synchronized(obj)就获取了“obj这个对象”的同步锁 ...

  9. Xshell 配色方案 Ubuntu Solarized_Dark isayme

    前言 最近在用Ubuntu,发现它的配色方案挺好看的,所以查了下有没有大神做过Xshell的Ubuntu配色方案. 一看,果然还是有大佬做了这个的. 三套配色配置如下: 1. Ubuntu的Solar ...

  10. 嵌入式之:Linux下文件编译过程

    本文主要三个部分:1.GNU GCC简介 2.C/C++交叉编译器arm-elf-gcc 3.make文件,用于工程管理 部分一:GNU GCC简介: 该编译器基本功能: (1)输出预处理后的文件(展 ...